Cyber-risques : Les collectivités locales sont-elles armées pour protéger les données de leurs administrés ?

28 juil. 2015

Les attentats de janvier 2015 et les centaines de piratages de sites de collectivités qui ont suivi en France, ont rappelé combien elles pouvaient être exposées aux risques informatiques.

Ces attaques, réduites pour l’instant au défaçage de sites Internet, visent essentiellement la diffusion de messages politiques. Mais quid demain d’une intrusion dans le réseau informatique d’une collectivité, en vue d’un vol massif d’identités ?

 Avec la numérisation croissante des documents administratifs, les collectivités ont en possession un vivier d’informations personnelles, à commencer par l’état civil de leurs concitoyens, leurs justificatifs de domicile, leurs données fiscales ou encore les inscriptions en établissements scolaires et périscolaires … Quand ce ne sont pas les résultats d’un vote électronique lié à un projet municipal.

Par manque de budget, d’expérience et souvent de compétences, dans ce domaine, les collectivités locales ne sont globalement pas assez protégées pour faire face à la menace de piratage. Quand elles disposent d’un responsable informatique, il porte également la casquette de RSSI, avec à sa disposition des moyens nettement inférieurs à ceux du secteur privé. Au déficit de protection, s’ajoute le manque de formation du personnel aux risques informatiques. Comme dans toute entreprise, le premier facteur d’une violation de données reste l’erreur humaine. Sur les 1500 sinistres que notre compagnie a indemnisés entre 2013 et 2014 dans le monde, plus de cinquante pour cent des cas étaient issus soit d’une divulgation accidentelle d’informations, par e-mail notamment, soit de la perte  de documents physiques.

En l’absence de directives européennes, le cadre réglementaire relatif à la sécurité des systèmes d’information est d’origine jurisprudentielle. Au même titre qu’un chef d’entreprise, le maire d’une commune est susceptible d’être mis en examen pour n’avoir pas pris les mesures de protection nécessaires.

Si les cas de sanctions juridiques, bien que possibles, sont encore rarissimes, c’est en revanche sur le plan de l’image que les retombées peuvent être les plus préjudiciables. Les cas de fuites de données exposent les entreprises à un important déficit de réputation, dont l’impact commercial peut s’avérer catastrophique. Ainsi, une étude internationale[i] menée auprès de consommateurs de 24 pays a révélé que 38 % des personnes victimes d’une violation de données déclaraient avoir cessé de traiter, en conséquence, avec l’organisation concernée.

Dans le cas d’une collectivité, s’il est plus compliqué de changer de ville ou de région, il est en revanche envisageable de sanctionner ses élus par le vote. Selon l’importance et la gravité du sinistre, la confiance en l’équipe municipale peut, en effet, très vite se détériorer.

Face à la numérisation croissante des données, pour des raisons premières de facilité de service, et face à la montée des menaces d’intrusion, les collectivités locales doivent prendre la mesure des risques qu’elles font prendre à leurs administrés.

Parce qu’en matière de cyber sécurité, le risque zéro n’existe pas, il est de la responsabilité des élus d’agir, en premier lieu, sur leur capacité à pouvoir réagir vite et contenir les effets d’une perte massive de données. Ceci implique de pouvoir mettre en place rapidement une cellule de crise, orchestrant l’intervention en urgence d’experts informatiques, dans le but de corriger la faille du système et de surveiller le web à la recherche des données subtilisées. Une cellule de crise permet également d’informer le plus tôt possible les administrés concernés par le vol d’identités et de les rassurer sur les moyens mis en œuvre.

Nos échanges avec les dirigeants territoriaux confirment leur intérêt pour des programmes spécifiques cyber. Les collectivités se sentent généralement livrées à elles-mêmes dans la gestion de ce risque et recherchent l’aide d’experts, capables des les accompagner tout au long du processus.

Ces dernières années, la plupart des assureurs spécialisés dans les cyber-risques ont mis au point un service de gestion de crise externalisé, mobilisable en urgence. Nul doute que ce type de support, qui a déjà fait ses preuves auprès des entreprises devienne à l’avenir un partenaire de premier plan pour les collectivités, dans leurs réponses aux attaques informatiques.

La mise en place de solutions aux administrés sur internet est un progrès à encourager et à encadrer. Les porteurs de risques ont tout intérêt à suivre le processus de près, afin d’aider les collectivités dans cette voie de dématérialisation.

[i] Economist Intelligence Unit de mars 2013.